网站地图    收藏   

主页 > 后端 > 网站安全 >

用参数的形式防止注入漏洞 - 网站安全 - 自学p

来源:自学PHP网    时间:2015-04-17 12:00 作者: 阅读:

[导读] 在判断用户登录时如果用了string.format字符串拼接的方式,用户有可能通过相应的拼接,去注视掉要求验证的代码;这样就有了漏洞;然而在net中通过参数的方式(本质是存储过程对这样...

在判断用户登录时如果用了string.format字符串拼接的方式,用户有可能通过相应的拼接,去注视掉要求验证的代码;这样就有了漏洞;然而在net中通过参数的方式(本质是存储过程对这样的行为进行防范;)
 protected void Button1_Click(object sender, EventArgs e)
        {
            string constr = "data source=.;initial catalog=UserDB1;User id=sa;password=admin";
            using(SqlConnection con=new SqlConnection(constr))
            {
               // string sql = string.Format("select count(*) from T_Users where FuserName='{0}' and Fpassword='{1}'",txtUserName.Text.Trim(),txtPassword.Text);
               //以上这种拼接sql语句的方法有sql注入漏洞攻击的问题 jk' or 1=1 --
                //如果避免注入漏洞攻击呢?使用参数的方法或存储过程的方法
                string sql = "select count(*) from T_Users where FuserName=@username and Fpassword=@password";

                using (SqlCommand cmd=new SqlCommand(sql,con))
                {
                    con.Open();
                   //在数据服务器端执行sql语句前需要告诉它@username,@password是谁。
                    //cmd.Parameters.AddWithValue("@username", txtUserName.Text.Trim());
                 
                    //cmd.Parameters.AddWithValue("@password", txtPassword.Text);
                    //每一个参数都是一个参数对象
                    //SqlParameter p1 = new SqlParameter("@username", txtUserName.Text.Trim());
                    //cmd.Parameters.Add(p1);
                    //SqlParameter p2 = new SqlParameter("@password", txtPassword.Text);
                    //cmd.Parameters.Add(p2);
                    //很多情况下参数的个数很多p1.....p9
                   
                    SqlParameter[] pms = new SqlParameter[] {
                   
                    new SqlParameter("@username", txtUserName.Text.Trim()),
                    new SqlParameter("@password", txtPassword.Text)
                    };
                    cmd.Parameters.AddRange(pms);

                    //通过监视发现,ADO的参数替换的方法避免了注入漏洞攻击,它通过一个存储过程实现了把输入的任何字串作为字串处理的形式。
                    //exec sp_executesql N'select count(*) from T_Users where FuserName=@username and Fpassword=@password',N'@username nvarchar(13),@password nvarchar(4)',@username=N'jk'' or 1=1 --',@password=N'sfds'
                   //在sql中,把’单引号转意为字符串的方法是前面再加一个单引号。
                    //在sql中的参数都是以@开始的,
                    int r=Convert.ToInt32(cmd.ExecuteScalar());//把sql语句送到数据服务器端执行
                   con.Close();//可以提前关闭链接,提高效率。
                   if (r > 0)
                   {
                       Response.Write("登陆成功!");
                   }
                   else
                   {
                       Response.Write("登陆失败!");
                   }

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论